用户帐号管理与权限管理

1本章学习目标数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。26.1Oracle9i的安全保障机制6.2用户管理6.3权限和角色本章内容安排36.1Oracle9i的安全保障机制4数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。56.2用户管理61．用户鉴别2．用户的表空间设置和定额6.2.1数据库的存取控制3．用户资源限制和环境文件4．用户环境文件71.用户鉴别为了防止非授权的数据库用户的使用，Oracle提供三种确认方法：操作系统确认，Oracle数据库确认和网络服务确认。由操作系统鉴定用户的优点是：1）用户能更快，更方便地联入数据库。2）通过操作系统对用户身份确认进行集中控制：如果操作系统与数据库用户信息一致，那么Oracle无须存储和管理用户名以及密码。3）用户进入数据库和操作系统审计信息一致。82．用户的表空间设置和定额关于表空间的使用有几种设置选择：•用户的缺省表空间•用户的临时表空间•数据库表空间的空间使用定额93.用户资源限制和环境文件利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择。Oracle可限制几种类型的系统资源的使用，每种资源可在会话级、调用级或两者上控制。10在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。11有下列资源限制：（1）为了防止无控制地使用CPU时间，Oracle可限制每次Oracle调用的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间，以0.01秒为单位。（2）为了防止过多的I/O，Oracle可限制每次调用和每次会话的逻辑数据块读的数目。12•（3）Oracle在会话级还提供其它几种资源限制。•每个用户的并行会话数的限制。•会话空闲时间的限制，如果一次会话的Oracle调用时间达到该空闲时间，当前事务被回滚，会话被中止，会话资源返回给系统。•每次会话的专用SGA空间量的限制。134．用户环境文件用户环境文件是指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。146.2.2创建用户使用CREATEUSER语句可以创建一个新的数据库用户，执行该语句的用户必须具有CREATEUSER系统权限。在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证，即采用数据库认证方式。在这种情况下，创建用户时必须为新用户指定一个口令，口令以加密方式保存在数据库中。当用户连接数据库时，Oracle从数据库中提取口令来对用户的身份进行验证。15使用IDENTIFIEDBY子句为用户设置口令，这时用户将通过数据库来进行身份认证。如果要通过操作系统来对用户进行身份认证，则必须使用IDENTIFIEDEXTERNALBY子句。使用DEFAULTTABLESPACE子句为用户指定默认表空间。如果没有指定默认表空间，Oracle会把SYSTEM表空间作为用户的默认表空间。为用户指定了默认表空间之后，还必须使用QUOTA子句来为用户在默认表空间中分配的空间配额。16此外，常用的一些子句有：①TEMPORARYTABLESPACE子句：为用户指定临时表空间。②PROFILE子句：为用户指定一个概要文件。如果没有为用户显式地指定概要文件，Oracle将自动为他指定DEFAULT概要文件。③DEFAULTROLE子句：为用户指定默认的角色。17•④PASSWORDEXPIRE子句：设置用户口令的初始状态为过期。•⑤ACCOUNTLOCK子句：设置用户账户的初始状态为锁定，缺省为：ACCOUNTUNLOCK。•在建立新用户之后，通常会需要使用GRANT语句为他授予CREATESESSION系统权限，使他具有连接到数据库中的能力。或为新用户直接授予Oracle中预定义的CONNECT角色。186.2.3修改用户在创建用户之后，可以使用ALTERUSER语句对用户进行修改，执行该语句的用户必须具有ALTERUSER系统权限。例如：利用下面的语句可以修改用户chenjie的认证方式、默认表空间、空间配额：ALTERUSERchenjieIDENTIFIEDBYchenjie_pwQUOTA10MONmbl_tbs;19202122232425登录口令由OS验证用户身份在多个数据库中被全局标识2627CREATEUSERCHENJIEPROFILEDEFAULTIDENTIFIEDBY123456DEFAULTTABLESPACEUSERSACCOUNTUNLOCK;GRANTCONNECTTOCHENJIE;概要文件--ACCOUNTLOCK子句：设置用户账户的初始状态为锁定，缺省为：ACCOUNTUNLOCK。28293031CREATETABLESPACEMB1_TBSLOGGINGDATAFILE'E:\ORACLE\ORADATA\ZYZ002\MB1_TBS.ora'SIZE5MEXTENTMANAGEMENTLOCAL32本地管理对应数据字典管理数据字典管理将表空间中所有的对象信息都保存在数据字典中，需要不断地维护这些信息。而本地管理方式则将这些对象信息保存在本地磁盘文件中。本地管理方式的效率更高些。33新口令:chenjie_pw343536ALTERUSERCHENJIEIDENTIFIEDBYchenjie_pwDEFAULTTABLESPACEMB1_TBSQUOTA10MONMB1_TBS37ALTERUSER语句最常用的情况是用来修改用户自己的口令，任何用户都可以使用ALTERUSER…IDENTIFIEDBY语句来修改自己的口令，而不需要具有任何其他权限。但是如果要修改其他用户的口令，则必须具有ALTERUSER系统权限。38DBA还会经常使用ALTERUSER语句锁定或解锁用户账户。例如：ALTERUSERchenjieACCOUNTLOCK;ALTERUSERchenjieACCOUNTUNLOCK;396.2.4删除用户使用DROPUSER语句可以删除已有的用户，执行该语句的用户必须具有DROPUSER系统权限。如果用户当前正连接到数据库中，则不能删除这个用户。要删除已连接的用户，首先必须使用ALTERSYSTEM…KILLSESSION语句终止他的会话，然后再使用DROPUSER语句将其删除。40如果要删除的用户模式中包含有模式对象，必须在DROPUSER子句中指定CASCADE关键字，否则Oracle将返回错误信息。例如：利用下面的语句将删除用户chenjie，并且同时删除他所拥有的所有表、索引等模式对象：DROPUSERchenjieCASCADE;416.3.2创建角色6.3.3授予权限或角色6.3.4回收权限或角色6.3.1基本概念6.3权限和角色6.3.5激活和禁用角色421．权限2．角色6.3.1基本概念431.权限-PRIVILEGES权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限：系统权限和对象权限。1）系统权限：是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利。系统权限可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。2）对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。442.角色-roll为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能：（1）一个角色可授予系统权限或对象权限。（2）一个角色可授权给其它角色，但不能循环授权。（3）任何角色可授权给任何数据库用户。（4）授权给用户的每一角色可以是可用的或者不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。（5）一个间接授权角色对用户可显式地使其可用或不可用。45在一个数据库中，每一个角色名必须唯一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。46一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。应用角色是授予的运行数据库应用所需的全部权限。用户角色是为具有公开权限需求的一组数据库用户而建立的。47ORACEL利用角色更容易地进行权限管理。有下列优点：（1）减少权限管理，不要显式地将同一权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。（2）动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。48（3）权限的选择可用性，授权给用户的角色可选择地使其可用或不可用。（4）应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。（5）应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，如不知其口令，不能使用角色。49使用CREATEROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATEROLE系统权限。在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。6.3.2创建角色50•例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限：•CREATEROLEOPT_ROLE;GRANTSELECTONsal_historyTOOPT_ROLE;GRANTINSERT,UPDATEONmount_entryTOOPT_ROLE;GRANTCREATEVIEWTOOPT_ROLE;5152535455565758CREATEROLEOPT_ROLENOTIDENTIFIED;GRANTCREATEVIEWTOOPT_ROLE“;GRANTINSERTONHR.ZYZBIAO1TOOPT_ROLE“;GRANTSELECTONHR.ZYZBIAO1TOOPT_ROLE“;GRANTUPDATEONHR.ZYZBIAO1TOOPT_ROLE“;59在创建角色时必须为角色命名，新建角色的名称不能与任何数据库用户或其他角色的名称相同。与用户类似，角色也需要进行认证。在执行CREATEROLE语句创建角色时，默认地将使用NOTIDENTIFIED子句，即在激活和禁用角色时不需要进行认证。如果需要确保角色的安全性，可以在创建角色时使用IDENTIFIED子句来设置角色的认证方式。与用户类似，角色也可以使用两种方式进行认证。60•使用ALTERROLE语句可以改变角色的口令或认证方式。例如：利用下面的语句来修改OPT_ROLE角色的口令（假设角色使用的是数据库认证方式）：•ALTERROLEOPT_ROLEIDENTIFIEDBYaccts*new;611．授予系统权限2．授予对象权限6.3.3授予权限或角色3．授予角色621.授予系统权限在GRANT关键字之后指定系统权限的名称，然后在TO关键字之后指定接受权限的用户名，即可将系统权限授予指定的用户。例如：利用下面的语句可以相关权限授予用户chenjie：GRANTCREATEUSER,ALTERUSER,DROPUSERTOchenjieWITHADMINOPTION;632．授予对象权限Oracle对象权限指用户在指定的表上进行特殊操作的权